Hechos clave:
-
Los ladrones están apuntando a usuarios comunes de criptomonedas y no tanto a grandes empresas.
-
Casi medio millón de dólares en bitcoins fueron robados por uno de estos virus.
Una familia de virus está al acecho. Algunos son capaces de tomar datos y robar tus bitcoins (BTC). Otros, utilizan tu poder de cómputo de forma deliberada para minar criptomonedas y lucrarse a costa de ti. Lo alarmante es que son la tendencia actual entre los ciberdelincuentes y se perfilan como los métodos de hackeo que más se usarán este 2022.
La firma de análisis de blockchains, Chainalysis, se encargó de estudiar el fenómeno y estableció en cuatro los tipos de malwares que son comúnmente usados por los ciberdelincuentes para atacar a sus víctimas, algunos de ellos han sido ampliamente reportados y ya son conocidos.
Se trata de los Ladrones de Información, clippers, cryptojackers y los famosos troyanos. Estos cuatro virus han generado pérdidas de sumas importantes de dinero. Todos utilizan diversos métodos de afectar a las personas, que parecen ser el nuevo objetivo claro de los piratas informáticos.
Si bien el robo de criptomonedas se suele asociar a grandes ataques a empresas, como exchanges de bitcoin o ataques de ransomware contra alguna estructura, desde Chainalysis han observado un cambio en el comportamiento de los delincuentes durante los últimos años: ahora usan los malwares para robar cantidades más pequeñas de criptomonedas de usuarios individuales.
Vendidos en la darknet
Según la firma, muchas de estas «cepas de malware» se venden en la darknet (web oscura) a precios relativamente bajos, «lo que facilita aún más que los piratas informáticos menos sofisticados las implementen contra las víctimas».
De hecho, y de acuerdo con la investigación de la empresa, una membresía a Redline, que es un malware de robo de información, tiene precios de USD 150 mensuales, con accesos vitalicios por hasta USD 800. Esto según una oferta en un blog de ciberdelincuencia en Rusia.
Se ofrece, además, acceso a Spectrum Crypt Service, que es una herramienta basada en la red social Telegram, en donde los delincuentes pueden enlazar Redline, de manera que sea más difícil de detectar por los antivirus
La proliferación de acceso barato a familias de malware como Redline significa que incluso los ciberdelincuentes relativamente poco calificados pueden usarlos para robar criptomonedas. Los equipos de aplicación de la ley y cumplimiento deben tener esto en cuenta y comprender que los ataques de malware que investigan no los llevan a cabo necesariamente los administradores de la familia de malware en sí, sino que a menudo los llevan a cabo grupos más pequeños que alquilan el acceso a la familia de malware, similar a los afiliados de ransomware.
Chainalysis, firma de análisis de blockchains.
Casi medio millón de dólares en bitcoins robados
Chainalysis ofreció detalles de los montos que han sido robados por los hackers que usan a esta familia de malwares. Solo por mencionar algunos, Cryptbot, que es un virus ladrón de información tomando el monedero y las llaves de la víctima, recaudó USD 500.000 en bitcoins.
Otro fue el caso de QuilClipper, un virus de tipo clipper o ladrón de portapapeles. El funcionamiento de este malware es interesante: insertan un nuevo texto en el portapapeles de un dispositivo, que toma el lugar del escrito copiado previamente por un usuario y que pegará en otro lugar.
En este caso, el virus detecta cuando el usuario copia una dirección de monedero a la cual enviará fondos, luego sustituye el texto copiado por la dirección del hacker, y la víctima termina depositándole bitcoins a un pirata informático sin darse cuenta. El delincuente habrá secuestrado la transacción «de manera efectiva».
Los cryptojackers, en tanto, son más técnicos y maliciosos. Disponen del poder de cómputo de la víctima para minar criptomonedas, por lo general, de la blockchain de Monero. Hay casos también en Zcash y Ethereum.
Pero de éstos no hay mayor información. Debido a que los montos se mueven desde el mempool a direcciones de minería desconocidas, es muy difícil recopilar pasivamente datos sobre la actividad.
No obstante, Chainalysis rescata que, en 2020, la división de seguridad en la nube de Cisco reportó que el malware de cryptojacking afectó al 69% de sus clientes.
Esto fue una gran cantidad de potencia informática robada, además de un número importante de criptomonedas extraídas de manera ilegal. Se habla de hasta USD 100 millones en ingresos, calculando que el 5% del circulante de Monero actual fue extraído por cryptojackers, según el informe de 2018 de Palo Alto Networks, citado por Chainalysis.
Protocolos DeFi, el destino final de los fondos robados
Chainalysis también estudió el destino de los fondos que son robados por los hackers. En detalle, se sabe que los exchanges de criptomonedas recibieron solo el 54% de las monedas enviadas desde direcciones de malware durante el 2021. Se trata de un 38% menos que el año anterior, cuando la cifra cerró en 75%.
No obstante, hubo un aumento en el uso de protocolos DeFi, como los exchanges descentralizados, como destino final de los fondos extraídos de las víctimas. Un 20% de los envíos se ejecutó a un terminal descentralizado.
Adicionalmente, se sabe que los servicios ilegales no relacionados con el malware, con presencia mayoritaria en la darknet, «también son una importante vía de lavado de dinero para los operadores de virus, ya que recibieron aproximadamente el 15% de todos los fondos enviados desde direcciones de malware en 2021».
Usuarios: más cuidado
Chainalysis aclara que una forma de evitar caer en trampas es teniendo más cuidado, sobre todo cuando se trata de los clippers, los cuales están dirigidos, por lo general, a usuarios comunes de criptomonedas.
Es extremadamente difícil saber si uno ha sido víctima de un clipper hasta que una transacción ha sido secuestrada dado lo largas y complejas que son las direcciones de criptomonedas: la mayoría de las personas no leen la dirección completa del destinatario entre pegarla en su monedero y enviar una transacción. Sin embargo, eso puede ser necesario para los usuarios que intentan ser lo más cuidadosos posible. Como mínimo, los usuarios de criptomonedas deben estar atentos a los enlaces en los que hacen clic y programas que descargan, ya que hay varias cepas de malware activas, no solo clippers, sino también otras, que intentan robar sus fondos.
Chainalysis, firma de análisis de blockchains.
Al final, reflexiona la empresa, los ciberdelincuentes siguen siendo los mismos, pero se están adaptando a nuevos métodos de fraude, con lo cual pueden aprovecharse de las víctimas de una manera más fácil e imperceptible. Para eso, dicen que los equipos de ciberseguridad necesitan «nuevos equipos en su caja de herramientas».